我在不同的域上有两个站点。我正在使用 Thinktecture IdentityModel 实现 SSO。

用户登录到站点 A。在某些时候，他们单击链接将他们带到站点 B。站点 A 使用 JWT 令牌将用户重定向到站点 B/Login.aspx?token=<token>。然后站点 B 通过调用站点 A 上的 API 对用户进行身份验证来验证令牌。如果通过身份验证，用户将自动登录到站点 B。

默认情况下，Thinktecture 令牌持续 10 小时，无法杀死令牌（据我所知）。如果用户退出站点，令牌仍然有效。我可以查看浏览器历史记录并获取“Login.aspx?token=< token >” url 并自动重新登录。有没有办法在用户注销时杀死所有用户令牌？令牌不应该作为查询字符串的一部分传递吗？防止重放攻击的最佳方法是什么？

我目前陷入这样一种情况，即我创建了一个 ASP Web API 项目并与我的主 MVC 应用程序分开部署，该 MVC 应用程序使用 Thinktecture 身份服务器进行联合身份验证。

我面临的问题与 web api cors 支持有关。更具体地说，我在 mvc 应用程序中验证了我的身份，但是当它向 web api 发送请求时，我收到以下错误：

该错误是有道理的，因为请求不包含 WSFederationAuthenticatioModule 验证我是否已登录所需的 Http 标头。

有没有我不知道的可能的解决方法？

我们在我们的一个项目中实现了 thinktecture 身份服务器。我已经看到 IdentityServerConfigurations 数据库中的 KeyMaterialConfiguration 表具有“SigningCertificate”。我通过将其创建为具有相同名称的“自签名证书”，在同一台机器（部署了 IdentityServer）的 IIS 中创建了类似的证书。

仍然当我运行 - 时http://localhost/identityserver，它给出了一条错误消息“找不到签名证书..”

谁能指导解决这个错误？

它只是占用了我很多时间。

有没有人使用在 IIS 7.5 下运行的 thinktecture 身份服务器成功实现了两级身份验证？

我尝试过的所有解决方案似乎都面向 IIS 6/经典模式，我确实找到了一个似乎已经解决了这个问题的人：

http://mvolo.com/iis-70-twolevel-authentication-with-forms-authentication-and-windows-authentication/

虽然没有太多运气让它与 Thinktecture 一起玩。

我们正在尝试做的是通过 Windows 身份验证对用户进行身份验证，如果这不可用，则将其发送到表单身份验证。我不确定为什么这会如此复杂，似乎这将是一项常见的任务。

我使用 Thinktecture 身份服务在我的 MVC 网站上对用户进行身份验证。我使用以下代码允许用户注销。

这成功地将用户从身份服务中注销，但是如何将用户重定向到 Sing In 页面，而不是显示成功注销消息？

我发现 Microsoft 的Claim-Based Authentication实现并没有真正达到真正的 Claim-Based 设置的预期，而且我似乎ThinkTecture在替换Web API implementation方面做得很好。

我想知道是否有人有指南或博客文章供人们从 AccountController 的 VS2013 的默认 SPA 模板迁移到 ThinkTecture 方法。

我也喜欢默认的 Microsoft Web API AccountController，它将为 AspNetUsers 和 Roles 创建表，但我不确定 ThinkTecture 是否做同样的事情。

我想我对ThinkTecture拥有的所有存储库都有些困惑。是否有人对使用什么、、、或 有可靠IdentityServer的IdentityModel.45指导AuthorizationServer？

我只是想放弃整个 Microsoft 方法并开放以使用正确的真正的基于声明的方法，但EF6 migrations在身份表、要使用的项目或如何放弃整个 AccountController 方法方面我有点需要帮助在 VS2013 的 SPA 模板中。我查看了Dominick 的博客，它似乎非常好，但我还没有找到有助于从 Web API 方法转变为 ThinkTecture 思维方式的帖子。

我需要实现 OAuth 2.0。感谢google，我找到了Thinktecture Authorization Server。这是一个开源项目，可让您...等等。

然后，我跳转到 wiki 页面，在此处https://vimeo.com/69300053观看初始设置视频。我按照说明进行操作，但单击配置服务器后，浏览器总是重定向到此链接。

https://idsrv.local/issue/wsfed?wa=wsignin1.0&wtrealm=urn%3aauthorizationserver&wctx=rm%3d0%26id%3dpassive%26ru%3d%252fAdmin%252fHome&wct=2014-01-04T08%3a08%3a54Z

1. 有人有这个问题的经验吗？
2. 谁有设置Thinktecture授权服务器的经验，请给我建议。我是 OAuth2.0 的新手，不知道从哪里开始。

谢谢。

我有一个使用Thinktecture Identity Server的声明感知 MVC 网站设置。我现在需要允许第 3 方访问网站的某些部分。

是否可以通过身份服务器以编程方式进行身份验证并将其发布到网站，以便第三方的用户不需要手动完成正常的登录过程？

我以前使用身份服务器获取 SAML 令牌以进行 WCF 调用，我想知道是否可以重复使用这种方法中的一些？

复杂性源于第 3 方使用基于桌面的 Java 应用程序，该应用程序内置了一些浏览器组件来访问 MVC 网站。用户已通过桌面应用程序进行身份验证，因此我们不希望他们再次输入凭据来查看这些网页。

基础设施布局

蓝色线发起登录请求。

红线是登录成功后的响应。我从 idp(janie-pc/ofsidentityservice) 到 fp(janie-pc/federationservice) 遇到了 404。

配置

我需要做什么才能使此流程正常工作？

我正在使用最新版本（v2.3）：https ://github.com/thinktecture/Thinktecture.IdentityServer.v2/releases

看起来我可能需要指定一个重定向 url，但是 thinktecture 需要这个 url 是什么？

我正在寻找一种方法来使已发给消费者的令牌无效或删除。

场景是当用户的密码被更改时，我们要确保所有已发行的令牌都不能再被使用。